有关“Token防范CRSF攻击”的理解

已于 2024-03-08 23:17:54 修改
阅读量423 收藏 7
点赞数 8
文章标签: web安全 http https csrf 计算机网络
于 2024-03-08 23:17:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hansdas/article/details/136573926
版权

在学HTTP的时候看到这句话,脑子比较笨想了很久才想明白,在这里记录下

咱也不知道对不对,如果有问题欢迎指出

1. 什么是CRSF攻击

就是Cross-site request forgery 跨站请求伪造

简单来说就是你访问了一个奇怪的坏网站,被坏网站诱导向另一个网站攻击

当你登录一个网站A后,在没有登出的情况下,你又跑到一个其他的论坛上闲逛,然后你看到一个美女的图片,你出于好奇心,点击了美女图片,这个时候,可能就被攻击了;原因是美女图片的的超链接(link)可能是不法分子弄的,指向的可能是A网站,由于你在A网站还是登陆态,那么你点击的这个link就是以你登录态的进行的,比如可以用你的登录态发布评论;严重的可能进行转账。而你却浑然不知

上面例子中图片的HTML代码可以是

<a href="http://www.a.com/addcomments?comment='XX是XX'"><img src='http://xx.com/beauty.jpg'/></a>

2. 为什么Token可以防止CSRF而Cookie不行

2.1 Cookie为什么会造成CSRF 

首先说下Cookie为什么可以被坏人拿来进行CSRF

我们都知道,浏览器发送请求时会带上Cookie来向服务端Session发送一些用户偏好等信息,来解决HTTP无状态的缺陷。

有一些请求是form 发起的不受到浏览器同源策略的限制都,比如 POST ,因此可以任意地使用其他域的 Cookie 向其他域发送请求,形成 CSRF 攻击。

2.2 为什么Token不会呢?

这涉及到Token与Cookie的一个区别:

  • 请求时,Token由前端【手动】添加
  • Cookie由浏览器无脑【自动】添加

比如:

我们在A网站登录后,创建对应的session,浏览器也保存了对应的Cookie,并且没有关闭这个Session;

然后跳到不正经的网站B瞅几眼,不小心点到不正经的图片,马上要被利用进行CRSF攻击了!

这时候Token与Cookie的差别就出现了:

  • Cookie会在B网站被浏览器【自动】装进请求头一起发出去,CRSF攻击就达成了
  • Token不是浏览器自动装的,需要A网站前端【手动】装进请求,所以在B网站就不会被盗用

因此, Token可以抵抗CSRF攻击。

但是如果把Token放在Cookie里就另说了....

3. Token就一定安全了吗

当然不是,只是说他能防CSRF。

如果用的是HTTP协议,那Token也有被抓包解析重用的风险,当然也有对应的应对方法,这里先不说了

4. 其他应对CSRF的方法

可以参考美团这个文档(我还没看完):

前端安全系列(二):如何防止CSRF攻击? - 美团技术团队

Hansdas
关注
CSRF攻击原理与防御方法
墨痕诉清风的博客
02-25 4604
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
CSRF的详细介绍与token的分析
wjtlht928的专栏
06-19 8325
CSRF攻击与防御 CSRFWeb应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 1、CSRF漏洞简介 CSRF(Cross-Site Request Forgery,跨站点伪造
为什么token能够防止CSRF(修正版)
qq_45888932的博客
04-06 1万+
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击
jinyangjie的博客
02-14 7001
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
TOKEN验证防止CSRF攻击的原理
weixin_34362991的博客
11-29 4123
CSRF中文名是跨站请求伪造攻击,黑客可以通过CSRF攻击来伪造我们的身份,从而进行不法的活动。比如说是以我们的身份进行转账,发送邮件等操作。要想做到预防CSRF攻击,首先需要了解CSRF攻击的原理,只有这样才可以真正的掌握预防的手段。CSRF攻击的原理是这样的:(1):当我们登陆某个网站以后,因为HTTP协议是无状态的,所以为了保存我们的登陆状态,服务器中的程序就必须创建一个session文件,...
token为什么能防止csrf_注意!!CSRF和XSS攻防知识点来了
weixin_39740737的博客
11-29 4726
作者:侯医生链接:https:segmentfault.com/a/1190000006672214导读随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊WEB前端的安全那些事儿。这里不去说那些后端的攻击(SQL注入、DDOS攻击等),我们就聊一聊前端工程师们需要...
token为什么能防止csrf_你了解可怕的CSRF攻击吗?
weixin_39858132的博客
12-10 2903
来源丨小怪聊职场www.jianshu.com/p/67408d73c66d什么是CSRF攻击CSRF攻击的全称是跨站请求伪造( cross site request forgery),是一种对网站的恶意利用。CSRF 是通过伪装来自受信任用户的请求来利用受信任的网站。你可以这么理解 CSRF攻击攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求。CRSF能做的事情包括:利用...
Spring安全: CSRF攻击防护与防范
CSRF攻击的原理是攻击者诱使用户在登录了恶意网站的情况下,利用用户在其他合法网站的身份认证信息来完成攻击请求,从而执行恶意操作。 ## 1.3 CSRF攻击的危害 CSRF攻击可能导致用户在不知情的情况下执行了恶意操作...
如何通过JWT防御CSRF
xiaomin1991222的专栏
07-26 2416
先解释两个名词,CSRF 和 JWT。 CSRF (Cross Site Request Forgery),它讲的是你在一个浏览器中打开了两个标签页,其中一个页面通过窃取另一个页面的 cookie 来发送伪造的请求,因为 cookie 是随着请求自动发送到服务端的。 JWT (JSON Web Token),通过某种算法将两个 JSON 对象加密成一个字符串,该字符串能代表唯一用户。 CS...
前端安全系列-如何防止CSRF攻击
最新发布
javagty6778的博客
03-07 337
Token是一个比较有效的CSRF防护方法,只要页面没有XSS漏洞泄露Token,那么接口的CSRF攻击就无法成功。但是此方法的实现比较复杂,需要给每一个页面都写入Token(前端无法使用纯静态页面),每一个Form及Ajax请求都携带这个Token,后端对每一个接口都进行校验,并保证页面Token及请求Token一致。这就使得这个防护策略不能在通用的拦截上统一拦截处理,而需要每一个页面和接口都添加对应的输出和校验。这种方法工作量巨大,且有可能遗漏。
Csrf攻击防止
八点半技术站
11-05 1万+
CSRF 的全称是“跨站请求伪造”,而 XSS 的全称是“跨站脚本”。看起来有点相似,它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户,但前面说了,它们的攻击类型是不同维度上的分 类。CSRF 顾名思义,是伪造请求,冒充用户在站内的正常操作。 我们知道,绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ...
CSRF攻击预防的Token生成原理
热门推荐
陈万洲的专栏
12-30 1万+
以往我们讲到CSRF,谈及都是CSRF攻击原理,这次讲一下预防CSRF,生成Token背后的加密原理和具体实现例示。 1.Token构成。 从需求功能上来讲,为了防止CSRF工具,token需要具有不重复,另外,还含有特定的功能信息,比如过期时间戳。 下面的图描述了一个token的数据构成: Token的数据结构。 ---------------------------
token为什么能防止csrf_CSRF漏洞探讨
weixin_39753211的博客
11-29 1852
今天和大家聊聊CSRF(Cross—Site Request Forgery)跨站点请求伪造背景:节后上班的第一天,无心工作,还被告知今天的文章还没有发,心塞。又被告知负责的某个产品下某个页面存在一个跨站请求伪造漏洞,该漏洞会导致攻击者可以恶意通过浏览器盗用用户身份信息发送一些恶意请求,可能会存在盗号风险,心更塞。惨痛的教训总结最深刻的经验,这波经验无私奉献给你们。一、CSRF原理什么是...
token与cookie的区别?(token是如何避免CSRF攻击?)
宇华的博客
07-05 1633
token与cookie的区别?token是如何避免CSRF攻击的?
token 为什么可以防止CSRF 攻击
qq_40929531的博客
12-03 2359
token 是被开发者发送给后端的,攻击者如果无法获取到token 是无法通过后端服务器的校验的 但是cookie 不同,只要在同一个浏览器,浏览器就会自动将cookie 放入请求头中,如果用cookie 做登录验证,例如: 小明登录了csdn, 此时小明突然想到了一件事情,登录了另一个网站,而这个网站被不知名的人埋入了一些请求,这些请求是当其他人进入该网站,则请求csdn 友好的帮助访问者发布一篇文章, 假如csdn 使用的是cookie做登录判断,小明访问该网站时触发了该请求,浏览器会自动将coo
为什么token防止csrf攻击
u011982711的博客
02-07 1739
用户登录了A网站,此时A网站与用户建立session,在浏览器上setCookie,JSESSIONID=cb4f911c-39d9-4f2a-b762-3a07396722fa; NG_TRANSLATE_LANG_KEY=%22en%22; 用户访问B网站,B网站有个诱导href=“www.A.com?delete",用户点击了,因为用户当前已经登陆了A网站,所以用户被诱导删除了。原因是浏览器区访问A网站时,A网站是通过request获取cookie,从而获取sessionid,获得了用户的登录状态,
WEB项目之 Token防止表单重复 anti csrf攻击
南窗寄傲琴书消忧的博客
04-19 7100
Token的作用 防止表单重复提交 防止CSRF攻击 用于签名验证 简单来讲,Token的主要作用就是验证,以上三个其实核心都是验证,相信接触到Token的人,对Token验证都不陌生了,不管是在支付的时候用的Token,还是微信用的,或者是网站请求时候用的,简单说Token(口令,令牌)就是用来验证的。为什么使用Token以前做的是一些小项目,也没有谁会来攻击你,也就没有注意到一些问题,今天看见很
理解防范CSRF攻击:开发者的视角
"从开发角度浅谈CSRF攻击及防御" CSRF(Cross-site request forgery,跨站请求伪造)是一种网络安全攻击方式,攻击者利用受害者已登录的身份,发送恶意请求来执行非授权的操作。这种攻击可能导致用户账户的资金流失...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值